Menjelang akhir bab buku ini, aktivis dan peneliti kebijakan publik Ravio Patra ditangkap polisi atas tuduhan menyebarkan ajakan melakukan kerusuhan dan kekerasaan pada 30 April ini. Padahal hanya beberapa jam sebelum ditangkap polisi, Ravio melaporkan pada SAFENet bahwa Whatsapp nya diretas seseorang dan dua nomor tak dikenalnya menghubungi yang setelah dilacak, milik anggota kepolisian. Eeaaa… informasi kasus ini selengkapnya sila di google yak.
Kepercayaan kita pada Facebook – Whatsapp, Amazon, Google dan semua aplikasi itu, bukan kepercayaan sukarela. Kita memang tidak pernah diberi pilihan. Kita tidak diberikan informasi singkat bagaimana keamanan data pribadi kita jaga, dan dimanfaatkan. Kalau pun dimanfaatkan oleh perusahaan tersebut, apa kita dimintai persetujuan atau consent? Tidak. Sementara negara atas dasar “keamanan” memaksa para perusahaan digital ini membuka akses untuk menyadap, meretas, para pelanggan mereka. Buat pemerintah, serasa akan lebih murah dan mudah memaksa meretas warganya lalu dipindai lewat applikasi yang ada daripada menjaga kepercayaan warganya dan menguatkan sistem keamanan siber di negara sendiri. Tapi harga yang dipertaruhkan sangat besar. Sebuah tatanan masyarakat memerlukan kepercayaan agar dapat berjalan baik. Kalau kepercayaan dilanggar terutama oleh negara, bagaimana mengharapkan kehidupan bermasyarakat akan berjalan baik.
Bruce Schenier adalah teknisi. Dia bicara banyak bagaimana kita, sebagai konsumen berdaya, paham tentang keamanan diri sendiri. IoT atau Internet of Things memang memudahkan hidup kita, tapi “semua teknologi yang memudahkan hidup, semudah itu juga teknologi akan menghancurkan semua kehidupanmu.” Ketika meng-install sebuah aplikasi, yang pertama diminta adalah sinkronisasi dengan FB dan Google, yakinkan diri dulu, seberapa perlu kamu dengan aplikasi ini? Pertimbangkan keamanan, apakah FB-Whatsapp lebih aman dari Signal atau sebaliknya, Google atau Apple, menyimpan file di cloud, itu seperti menyediakannya untuk diretas. Verifikasi ganda lebih baik daripada hanya satu, rutin mengupdate sistem lebih baik daripada tidak, mengganti password secara berkala juga lebih aman daripada tidak. Harusnya kita bisa “memaksa” pengusaha digital untuk berlomba-lomba memperbaiki sistem keamanan mereka, bukan dengan “user friendly” saja. Kita harusnya hanya menggunakan app yang terjamin keamanannya.
Pemerintah memang pegang kunci untuk mengatur dunia siber, tapi yang terjadi selama ini, titik beratnya ada pada “penyerangan” atau offence ketimbang memikirkan bagaimana melakukan “pertahanan” atau defence yang baik. Yang dibutuhkan pemerintah adalah meningkatkan kapasitas sistem keamanan mereka supaya tidak mudah dihack atau diretas orang. Seperti kejadian di Ukraina 2015, ketika pembangkit listrik dihacked dan mengganggu sistem distribusi energi hingga akhirnya dihentikan sampai sistem siber mereka diperbaiki. Ketika ini terjadi, yang paling dirugikan adalah masyarakat. Desember 2018, peretas Iran meretas pemerintah kota Atlanta dan operasional pemerintahan kota terpaksa terhenti sampai seminggu. Ada banyak contoh lemahnya keamanan siber pemerintahan, karena pemerintah sibuk “menyerang” sistem siber lain, memata-matai siber negara lain, memaksa perusahaan digital membuka pintu belakang “backdoor” dan memata-matai warganya sendiri, ketimbang memerhatikan keamanan sibernya sendiri. Seharusnya secara teknis, sistem pengamanan harus ditingkatkan dan bisa, asal ada kemauan politis. Dan sistem ini sudah ada sejak perencanaan, bukan baru dipikirkan dan bertindak ketika serangan siber terjadi.
Meski Schneier merekomendasikan agar pemerintah turun tangan mengatur agar keamanan siber terjadi, dalam sistem siber pemerintahan dan menjamin keamanan data pribadi warganya, tapi kemajuan teknologi memang akan selalu lebih cepat dari kemampuan hukum dihasilkan. Tapi bukan berarti itu tidak dapat dilakukan. Punya sebuah undang-undang yang resilient pada perubahan teknologi, masih jauh lebih baik daripada tidak sama sekali. Contoh yang digunakan Schneier dan dapat menjadi rujukan bagi negara lain adalah milik Uni Eropa – GDPR – General Data Protection Regulation.
Dalam UU GDPR ini adalah beberapa yang diatur, antara lain, mandat agar data pribadi hanya bisa dikoleksi atau dikumpulkan dan disimpan untuk “tujuan khususm terbuka dan sah secara hukum,” dan hanya dapat dilakukan setelah mendapat persetujuan dari pemilik data. Consent atau lembar persetujuan tidak boleh termaktub dalam “Syarat dan Ketentuan,” (dia harus secara terpisah dan terbuka disampaikan). Pengguna berhak untuk mengakses data pribadinya, memperbaikan kesalahan informasi, mengetahui bagaimana data mereka digunakan. Pengguna berhak mengunduh data pribadi mereka dan menggunakannya untuk kepentingan lain, dan menuntut agar data mereka dihapus.
Contoh lain di Singapore ada Personal Data Protection Act, Korea Selatan punya Personal Information Protection Actm dan Hong Kong dengan Personal Data (Privacy) Ordinance. Tapi Schneier sendiri ragu apakah Undang-Undang ini bergigi, tapi daripada tidak. Hal lain yang menurut Schneier sebaiknya tidak dilakukan oleh negara, (1) memaksa pintu belakang dibuka (backdoor) untuk surveillance, (2) pembatasan enkripsi, (3) melarang anomitas, (4) mass surveillance atau pemindaian masal, (5) hacking back (balas retas) dan (6) membatasi ketersediaan software.
Tapi yang paling penting adalah membangun ruang siber yang terpercaya, membawa damai, dan mampu bertahan / sustainable dan resilient (dalam bahasa Indonesia, elastis). Hal itu kata Scheneir mungkin dilakukan kalau ada kerjasama yang baik antara teknisi digital yang menguasai ruang teknis dengan pembuat kebijakan. Dia membayangkan diskusi yang terjadi seperti dalam film Star Trek: The Next Generation, ketika semua orang duduk bersama di meja konferensi dan ahli teknologi menjelaskan dengan data dan sains kepada Kapten Picard. Kapten Picard mendengarkan dan menimbang data dan membuat keputusan berdasarkan data dan sains.
Mitos!
Begitu saya ingin mengakhiri review ini. Masih jauh dari harapan. Schneier menulis buku dalam konteks Amerika, tapi saya ingin balik ke Indonesia. Di Indonesia Undang-Undang Informasi dan Transaksi Elektronik, lebih tepat disebut sebagai aturan karet yang menjerat orang-orang yang tidak sepaham dengan kekuasaan. Undang-Undang yang menjerat pengguna sosial media hanya berbasis bukti hukum yang lemah. Tulisan https://www.thejakartapost.com/academia/2020/04/24/the-curious-case-of-ravio-patra-why-indonesian-cyberspace-is-a-dystopian-nightmare.html cukup menjelaskan mengapa bayangan Star trek itu masih mimpi siang bolong. Ruang siber Indonesia hanya menjadi mainan politik dan pelan-pelan mengikis kepercayaan public. Kita akan membayarnya lebih mahal di kemudian hari.
nroshita 